Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IKE)

Syntax

Hierarchy Level

Description

in IKE-Richtlinien ist eine Kombination aus Sicherheitsparametern (IKE-Vorschläge), die während IKE-Verhandlungen verwendet werden sollen, darunter die Peer-Adresse, der preshared-Schlüssel für den angegebenen Peer und die dazu erforderlichen Angebote. Während der IKE- und IKE nach einer Netzwerkrichtlinie IKE die auch für Peers identisch ist. Der Peer, der die Aushandlung initiiert, sendet alle Richtlinien an den Remote-Peer, und der Remote-Peer versucht, eine Übereinstimmung zu finden.

IKE Angebote in der Erklärung werden in Listengeordnet von oben nach unten bewertet. Wenn Sie die Richtlinie erstellen, legen Sie zuerst den Vorschlag mit höchster Priorität fest, gefolgt von der nächsten höchsten Priorität, und so policy weiter.

Options

policy-name— Name der IKE Datenschutzrichtlinie. Der Richtlinienname kann bis zu 32 alphanumerische Zeichen lang sein.

certificate—Angabe der Verwendung eines digitalen Zertifikats zur Authentifizierung des vpn (Virtual Private Network) e und Empfängers.

description description— Geben Sie die Beschreibung der IKE an.

mode— Geben Sie den für die Internet Key Exchange (IKE) Aus verhandlungen in Phase 1 verwendeten Modus an. Verwenden Sie den aggressiven Modus nur, wenn Sie einen Schlüsselwechsel IKE ID-Schutz initiieren müssen, etwa wenn eine Peer-Einheit eine dynamisch zugewiesene IP-Adresse hat. Das IKEv2-Protokoll handelt mithilfe der Moduskonfiguration nicht aus. Das Gerät löscht vorhandene IKE und IPsec-SAs, wenn Sie die Konfiguration in der IKE mode aktualisieren.

  • aggressive- Aggressiver Modus.

  • main— Hauptmodus. Bei dem Hauptmodus handelt es sich um die empfohlene Methode für den Austausch von Schlüsseln, da die Identitäten der Parteien während des Schlüsselaustauschs nicht klar sind.

    Die Konfiguration für GRUPPEN-VPN-Server oder -Mitglieder wird nicht unterstützt, wenn das Remote-Gateway über eine dynamische Adresse und mode main die Authentifizierungsmethode pre-shared-keys verfügt.

pre-shared-key—Einen preshared Key für eine Richtlinie IKE definieren. Das Gerät löscht vorhandene IKE und IPsec-SAs, wenn Sie die Konfiguration in der IKE pre-shared-key aktualisieren.

  • ascii-text key— Geben Sie eine Zeichenfolge von 1 bis 255 ASCII-Textzeichen für den Schlüssel an. Zeichen @ + - oder = nicht zulässig. Um die Sonderzeichen beizumannen, entweder die gesamte Schlüsselzeichenfolge oder das ( ) [ ] { } , ; Sonderzeichen in Anführungszeichen, zum Beispiel “str)ng” oder str”)”ng . Andere Anführungszeichen innerhalb der Zeichenfolge sind nicht zulässig. Der des-cbc Schlüssel enthält 8 ASCII-Zeichen. Der 3des-cbc Schlüssel enthält 24 ASCII-Zeichen.

  • hexadecimal key— Geben Sie eine Zeichenfolge von 1 bis 255 Hexadezimalzeichen für den Schlüssel an. Zeichen müssen Hexadezimal-Digits 0 durch oder Buchstaben durch oder durch 9afAF sein. Der des-cbc Schlüssel enthält 16 Hexadezimalzeichen. Der 3des-cbc Schlüssel enthält 48 Hexadezimalzeichen.

seeded-pre-shared-key—Einen seeded preshared Key im ASCII- oder Hexadezimalformat für eine IKE definieren. Der seeded-pre-shared-key Master-Schlüssel wird zur Generierung der pre-shared-key Peers verwendet. Also hat jeder Peer unterschiedliche pre-shared-key . Der Vorteil dieser Option ist, dass jede Peer-Verbindung zum Gateway einen unterschiedlichen vorinstallierten Schlüssel hat. Wenn also ein Peer beeinträchtigt ist, werden die anderen Peers nicht pre-shared-key beeinträchtigt.

Die peer-preshared Keys werden mithilfe des konfigurierten Hauptschlüssels generiert und den seeded-pre-shared-key Peers gemeinsam genutzt. Um den vorinstallierten Schlüssel des Peers anzuzeigen, führen Sie den Befehl aus, geben Sie den angezeigten vorinstallierten Schlüssel im Gerät des Peer-Geräts als show security ike pre-shared-key Pre-Shared-Key (im ASCII-Format) weiter. Der Hauptschlüssel wird nur im Gateway-Gerät konfiguriert und nicht mit einem Peer geteilt.

Sie können den Peer-Preshared-Schlüssel über den oder den show security ike pre-shared-key user-id peer ike-id master-key master key Befehl show security ike pre-shared-key user-id peer ike-id gateway gateway name abrufen.

  • ascii-text-key— Konfigurieren Sie eine Reihe von 1 bis 255 ASCII-Textzeichen für den Schlüssel. Zeichen @ + - oder = nicht zulässig. Um die Sonderzeichen beizumannen, entweder die gesamte Schlüsselzeichenfolge oder das ( ) [ ] { } , ; Sonderzeichen in Anführungszeichen, zum Beispiel “str)ng” oder str”)”ng . Andere Anführungszeichen innerhalb der Zeichenfolge sind nicht zulässig.

  • hexadecimal-key— Geben Sie eine Zeichenfolge von 1 bis 255 Hexadezimalzeichen für den Schlüssel an. Zeichen müssen Hexadezimal-Digits 0 durch oder Buchstaben durch oder durch 9afAF sein.

proposal-set— Geben Sie eine Reihe von Standardeinstellungen Internet Key Exchange (IKE) an.

proposals proposal-name— Geben Sie bis zu vier Angebote für die erste Phase für eine IKE an. Wenn Sie verschiedene Angebote machen, nutzen Sie in allen Angebote die gleiche Diffie-Hellman-Gruppe.

reauth-frequency number—Konfigurieren der Frequenz für erneute Authentifizierung, um eine neue IKEv2-Neuauthentifizierung auszulösen. Eine erneute Authentifizierung erstellt eine neue Sicherheitszuordnung IKE, erstellt neue untergeordnete Sicherheitszuordnungen innerhalb der IKE SA und löscht dann die alte IKE SA. Diese Option ist standardmäßig deaktiviert. umber von IKE-Rekeys, die auftreten, bevor eine erneute Authentifizierung eintritt. Wenn dies der Fall ist, tritt jede erneute Authentifizierung ein, wenn ein IKE reauth-frequency1 wird. Wenn dies der Fall ist, erfolgt die erneute Authentifizierung an jedem anderen IKE reauth-frequency2 rekey. Wenn dies der Fall ist, erfolgt die erneute Authentifizierung reauth-frequency3 an jedem IKE-Rekey.

  • Standard: 0 (deaktivieren)

  • Bereich: 0-100

Required Privilege Level

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security Control: Um diese Aussage der Konfiguration hinzuzufügen.

Release Information

Erklärung geändert in Junos OS Version 8.5.

Unterstützung für suiteb-gcm-128 und suiteb-gcm-256 Optionen, die in Junos OS Release 12.1X45-D10.

Unterstützung für policy-oids in der Junos OS zusätzliche Option 12.3X48-D10.

Unterstützung für trusted-ca in der Junos OS zusätzliche Option 18.1R1.

Unterstützung für reauth-frequency in der Junos OS zusätzliche Option 15.1X49-D60.

Unterstützung für seeded-pre-shared-key option, die in Junos OS Version 21.1R1 hinzugefügt wurde.